| | | | | | | | | |

Exploit para Log4j tiene a la comunidad de seguridad en jaque: alerta de concientización

Se lanzó un exploit de día cero para log4j, una librería de registro basada en Java que forma parte del proyecto Apache Logging Services. Lo utilizan millones de sistemas en todo el mundo para procesar logs y este exploit puede dejar a Internet en llamas.

Alerta de Concientización

Sinopsis de la Amenaza

Nombre: exploit para Log4j

Fecha: 9 de Diciembre de 2021 el equipo de seguridad de servicios en la nube de Alibaba dio a conocer la vulnerabilidad. Cibercriminales ya están intentando explotarla, pero incluso a medida que están desarrollándose soluciones, los investigadores advierten que esta falla podría tener graves repercusiones en todo el mundo.

Objetivo: todo tipo de organizaciones (públicas y privadas) que utilicen la utilidad Log4j para servicios de logging de aplicaciones. Por ejemplo, Minecraft de Microsoft usa esta librería y ya alertó a sus usuarios para que actualicen el software.

Localidad: escala global.

Resumen: El problema radica en Log4j, una librería de registro basado en Java que forma parte del proyecto Apache Logging Services. Esta librería es de código abierto y es ampliamente empleada por los desarrolladores para mantener un registro de la actividad dentro de una aplicación en sistemas empresariales, aplicaciones web y servicios en la nube. El personal de seguridad está luchando para corregir el error, que puede explotarse fácilmente para tomar el control de los sistemas vulnerables de forma remota. Al mismo tiempo, los ciberdelincuentes están escaneando activamente Internet en busca de sistemas afectados. Algunos ya han desarrollado herramientas que intentan automáticamente explotar la falla, así como gusanos que pueden propagarse de manera independiente de un sistema vulnerable a otro en las condiciones adecuadas.

Organización criminal sospechosa: N/A.

Vector de ataque: vulnerabilidad de día cero
La vulnerabilidad se debe a una funcionalidad de “búsqueda” insegura dentro de log4j que ejecuta el contenido proporcionado por el usuario como código. O sea, si se utilizan en una cadena de ataque, puede provocar la ejecución remota de código (RCE), secuestro de servidores, puertas traseras, robo de datos y, potencialmente, una mayor implementación de malware.

Es una situación que recuerda a Heartbleed, pero que es mucho peor en varias formas. Si bien Heartbleed afectó a todas las implementaciones de TLS, y esta solo afecta a los sistemas que usan log4j, este problema produce un daño directo e inmediato en forma de extracciones de contraseñas / claves y shells.

El colapso de Log4j habla más de cuán ampliamente se pueden sentir los efectos de una sola falla si se encuentra en una pieza fundamental de código que se incorpora a una gran cantidad de software. Adicionalmente, el proyecto Apache es mantenido por un grupo reducido de programadores voluntarios que hacen esta actividad en su tiempo libre y no son remunerados. Esto es una clara señal que debemos repensar, no solo el caso de Log4j, sino de otros componentes de software ampliamente utilizados en la infraestructura de internet y que nos puede dejar fatalmente expuestos.

Referencias: ‘The Internet Is on Fire’ – Wired , Apache Releases Log4j Version 2.15.0 to Address Critical RCE Vulnerability Under Exploitation

Exploit para Log4j: Contramedidas sugeridas

  • Obtener orientación de The Apache Software Foundation y las autoridades del CERT.
  • Asegúrarse de disponer de copias de seguridad actualizadas y que estén almacenadas en una ubicación de fácil recuperación que esté separada de la red de la organización.
  • Identificar todas sus instancias de log4j y parchearlas a 2.15+. La mejor manera de solucionar esto es encontrar todas sus instancias de log4j y parchearlas a 2.15+. Si no puede hacer eso, hay algunas posibles mitigaciones como establecer la propiedad del sistema log4j2.formatMsgNoLookups o la variable de entorno LOG4J_FORMAT_MSG_NO_LOOKUPS en true.
  • Vale resaltar que el hecho de que las correcciones se apliquen, no significa que los servidores no hayan sido bloqueados o comprometidos de otra manera. Por lo que es necesario realizar una evaluación integral de un eventual compromiso del sistema.

Exploit para Log4j: Material de Concientización

Frase para Guardar en el Bolsillo

“Una de las pruebas de nuestros Líderes es la capacidad de reconocer un problema antes de que se convierta en una emergencia.” – Arnold H. Glasow

Si querés conocer más recursos de CiberSergei para estar mejor preparado, te invito a que explores la sección de Hacks de Productividad. Si querés enviar un mensaje a CiberSergei, visita la página de contacto aquí.

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *